HTB靶场(Sense+shocker)

nicky   ·   发表于 2020-12-13 21:21:20   ·   技术文章

目录
0x00:靶场介绍
0x01:探测目标
0x02:挖掘信息
0x03:信息收集
0x04:利用payload
0x05:第二个靶机
0x06:探测靶机
0x07:目录挖掘所得到的信息
0x08:复现CVE-2014-6271漏洞
0x09:提权

0x00:靶场介绍

第一个靶场是Sense,不是很难,注重信息收集和挖掘信息

0x01:探测目标

首先使用autorecon进行波端口探测。这里已经自动跑完了可以看结果。目标只开了80和443端口

最后发现80端口是个页面。443端口=摆设在浏览器输入了一波还是跳转回80端口

0x02:挖掘信息

既然只有80端口可用,那只能启动dirbuster爆破一波80端口看看。使用Dirbuster还是比较简单的。输入目标IP可以不用具体到某个端口,work method那里使用第二种然后选Go faster加快速度。字典启用kali自带的。扩展名可以加php,txt和html都行。

等了一段时间以后终于扫完了。同时出现了个system-users.txt的文件

跟进以后得到波用户名。密码是公司默认密码。。。。。好像跟没说一样。

0x03:信息收集

为了知道啥是公司默认密码,得先知道这个公司是什么名字先,回到80端口这里有个sense

那就直接在kali用searchsploit(跟进入MSF搜一样)搜sense,得到几个CMS的名字

然后在百度找啊找,找到一个pfsense的跟80端口的登入界面一样。

然后顺便知道了默认密码是pfsense,然而坑点是要把用户名的R变成小写以后才可以登录进去,顺便得到了版本2.13

0x04:利用payload

然后再使用波searchsploit,找到了一个命令注入的payload

那我先把它复制到当前目录好操作些。

然后用cat看了波这个python脚本,注意parser.add_argument,这是脚本需要接收的参数才能运行。需要设置四个东西

那我们先开启波nc先

然后开始运行

成功拿到一个shell,已经是root了。不用提权

0x05:靶机介绍

这次的靶机是shocker,基本上是漏洞CVE-2014-6271的复现和Linux下简单的提权

0x06:探测靶机

还是先使用autorecon扫描波IP,使用方法很简单只需要python autorecon.py IP地址就可以了。当出现nmap-full-tcp的时候就可以去结果那里查看波扫描情况

这次开了80端口和2222端口。

顺便输入波IP进浏览器,发现可以正常运转。不用加载奇奇怪怪的ajax

0x07:目录挖掘得到的漏洞信息

这里首先用dirb对80端口一顿输出看能不能挖掘到有用的目录信息。发现一个/cgi-bin的目录

放到百度搜索可以找到一个CVE-2014-6271的漏洞编码。不考虑2020的这个靶机是17年的不可能是现在这个的。

0x08:复现CVE-2014-6271漏洞

这里跟着CVE漏洞编码在网上找到一个利用教学https://blog.csdn.net/qq_36869808/article/details/104005219

总结一下利用条件。目标必须有cgi-bin目录。然后继续爆破cgi-bin里面的内容。然后执行netcat一句话进去从而得到一个shell
那我们还是得继续用dirb爆破一波cgi-bin里面的内容,不过目录没找到,只找到一个user.sh

那这里我先提前开启netcat先

然后执行我们的payload(注意上面博客的payload双引号是中文的运行不了,得变成英文的双引号才能执行)

然后我们的nc成功接收得到一个shell

然后就是拿flag了

0x09:提权

这里首先使用sudo-l终于成功运行了

使用gtfobin查到对应的perl提权方法

要加个sudo /usr/bin/perl 一波提权带走

最后打波广告欢迎大家关注波我们的公众号神隐攻防实验室,每周更新一些文章

用户名金币积分时间理由
veek 80.00 0 2020-12-14 09:09:20 感谢分享~

打赏我,让我更有动力~

0 条回复   |  直到 2020-12-13 | 1644 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.